TWI717071B - 憑證管理系統及其方法 - Google Patents
憑證管理系統及其方法 Download PDFInfo
- Publication number
- TWI717071B TWI717071B TW108138625A TW108138625A TWI717071B TW I717071 B TWI717071 B TW I717071B TW 108138625 A TW108138625 A TW 108138625A TW 108138625 A TW108138625 A TW 108138625A TW I717071 B TWI717071 B TW I717071B
- Authority
- TW
- Taiwan
- Prior art keywords
- certificate
- virtual platform
- module
- platform object
- revocation
- Prior art date
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本發明為一種憑證管理系統及其方法,其中,該憑證管理系統包括憑證申請模組,以將憑證用戶之憑證服務申請導入預設之虛擬平台物件中並監控該虛擬平台物件,以於該虛擬平台物件之效能低於門檻值時,新增另一虛擬平台物件以分流處理新的憑證服務申請,進而當提出大量憑證服務申請時,可在不增加新的憑證中心且無須變更用戶申請憑證服務的既有工作流的前提下,仍可維持整體效能,並實現較佳的憑證管理。
Description
本發明為一種憑證管理技術,尤指一種可於憑證資料量增加導致處理效能降低時,提供分流機制之憑證管理系統及其方法。
密碼學技術廣泛應用於各種資訊安全領域已行之有年,例如:通訊安全、資料加密、數位簽章、時戳應用、訊息驗證、身分認證、電子憑證等應用,這些皆為網路公開金鑰基礎建設(Web Public Key Infrastructure,Web PKI)中的重要技術,而在眾多資訊安全領域之中,憑證中心(Certificate Authority,CA)更是倍受信賴的核心單位,其發行之各種類憑證,可應用在不同領域的交易驗證,藉以大幅降低資訊安全環境遭受威脅或攻擊事件之風險,以避免造成重大損失。
而公開認證的憑證中心需制定提供憑證服務之憑證實務作業基準,以對外提供憑證服務,其中,該實務作業基準係依據憑證政策所訂定,並遵循電子簽章法及其子法憑證實務作業基準應載明事項準則之相關規定及國際標準,如網際網路工程任務小組徵求修正意見書RFC 3647與RFC 5280、ITU-T X.509及憑證機構與瀏覽器論壇發行之Baseline
Requirements所訂定之政策文件,才能作為憑證中心訂定憑證實務作業基準之依據。再者,總憑證中心也需植入各瀏覽器根憑證計畫,方能發行特定種類憑證,據此可知,如欲成立一個憑證中心,需要經過多方認證方能成立,也會需要通過不同的稽核,因此,成立新憑證中心的稽核門檻甚高,且曠日費時。
然而,在提供憑證服務的過程中,時有遇到憑證服務需求量過大的情況,在此情況下,僅能另外成立新的憑證中心,以提供更多憑證服務。惟,由於憑證中心的成立的過程繁索,且門檻甚高,申請過程更曠日費時,因此,若欲透過以往藉由成立新憑證中心作為解決憑證服務需求過大之問題的方式實屬不易,且費時並缺乏效率。據此可知,以目前技術而言,當遭遇憑證服務需求量過大之情況,實無其他具體方案可以確實滿足如何在不新增憑證中心數量的前提下,仍可維持該憑證中心平台的效能之需求,並可實現較佳的憑證管理。
因此,若能找出一種憑證管理機制,特別是,讓憑證中心平台具備能依照偵測平台環境並適時啟用擴充功能,可在憑證服務需求量過載的情況下,以無須另行新增憑證中心的前提下,照常提供憑證服務,維持該憑證中心平台的效能,並可實現較佳的憑證管理,此將成為目前本技術領域人員極力追求之技術目標。
本發明之目的係提供當遭遇大量憑證服務申請而致處理效能降低時,提供憑證處理之分流機制,以在憑證服務量過大時,於不增加
憑證中心的情況下,達到繼續提供憑證服務,維持該憑證中心平台的效能,並可實現較佳的憑證管理之目的。
為了達成上述或其他目的,本發明提出一種憑證管理系統,係包括:憑證申請模組,係設置有一虛擬平台物件,以將憑證用戶之憑證申請封包導入該虛擬平台物件並執行該虛擬平台物件之效能監控,俾於該虛擬平台物件執行憑證申請流程後,傳送憑證至該憑證用戶,其中,於該憑證申請模組監控該虛擬平台物件之效能低於門檻值時,該憑證申請模組增設至少另一虛擬平台物件,以將新進之憑證申請封包導入該至少另一虛擬平台物件進行處理並執行該至少另一虛擬平台物件之效能監控,俾產生對應該新進之憑證申請封包之新的憑證。
於一實施例中,該憑證申請模組係對應各該虛擬平台物件設置有用以儲存各該憑證之虛擬憑證資料庫。
於另一實施例中,各該憑證包括具有亂數資訊和特定前綴資訊之憑證序號,且該特定前綴資訊經一規則制定後有對應該虛擬平台物件之資訊,於一具體實施例中,該特定前綴資訊為特定序列化值、對映表索引值、唯一索引加密值、唯一索引編碼值或前述應用之組合。
於另一實施例中,該憑證申請模組係訊號連結用以儲存與該特定前綴資訊對應之該虛擬平台物件之關係的憑證資料庫。
於另一實施例中,該憑證管理系統復包括憑證廢止模組、憑證廢止清冊模組以及線上憑證狀態協定模組,其中,該憑證申請模組、該憑證廢止模組、該憑證廢止清冊模組以及該線上憑證狀態協定模組彼此相互訊號連結,且該憑證廢止模組接收該憑證用戶或審核者之憑證廢止服務
申請封包,以於取得該特定前綴資訊後,由對應該特定前綴資訊之該虛擬平台物件上執行憑證廢止流程,俾傳送憑證廢止結果至該憑證用戶;該憑證廢止清冊模組接收該憑證用戶之憑證廢止清冊服務申請封包時,係選擇該虛擬平台物件之其中一者作為介接的虛擬平台物件,俾透過該介接的虛擬平台物件呼叫其他的該虛擬平台物件查詢對應之憑證黑名單資訊後傳送至該介接的虛擬平台物件,以供該介接的虛擬平台物件製作憑證廢止清冊;以及該線上憑證狀態協定模組接收該憑證用戶之線上憑證狀態協定服務申請封包,以於取得該特定前綴資訊以及對應之憑證機構資訊存取值後,由對應之該虛擬平台物件查詢待查憑證之狀態,俾傳送該待查憑證之狀態結果至該憑證用戶。
於另一實施例中,該憑證廢止清冊模組係訊號連結用以儲存該憑證廢止清冊之憑證廢止清冊資料庫。
於另一實施例中,該線上憑證狀態協定模組係訊號連結用以儲存該待查憑證之該狀態結果之線上憑證狀態協定回應資料庫。
於另一實施例中,該憑證管理系統係連線至具有憑證用戶端瀏覽器、網頁伺服器、網域名稱伺服器及代理伺服器之交握端,該憑證用戶端瀏覽器連結至相互連結之該網頁伺服器與該網域名稱伺服器,且該網頁伺服器連結至該代理伺服器,而該代理伺服器連結至該憑證申請模組、該憑證廢止模組、該憑證廢止清冊模組以及該線上憑證狀態協定模組。
於又一實施例中,各該虛擬平台物件分別包括相互訊號連結之虛擬憑證申請單元、虛擬憑證廢止模組、虛擬憑證廢止清冊模組以及虛擬線上憑證狀態協定模組。
本發明復提出一種憑證管理方法,係包括下列步驟:接收憑證用戶之憑證申請封包;處理憑證申請封包,其將該憑證申請封包導入預先設置之一虛擬平台物件並監控該虛擬平台物件之效能;以及於該虛擬平台物件執行憑證申請流程後,傳送憑證至該憑證用戶,其中,於該虛擬平台物件之效能低於門檻值時,增設至少另一虛擬平台物件,以將新進之憑證服務導入該至少另一虛擬平台物件進行處理並執行該至少另一虛擬平台物件之效能監控,俾產生對應該新進之憑證服務。
於一實施例中,各該虛擬平台物件設置用以儲存各該憑證之虛擬憑證資料庫。
於另一實施例中,該憑證包括具有亂數資訊和特定前綴資訊之憑證序號,且該特定前綴資訊經一規則制定後有對應該虛擬平台物件之資訊,於一具體實施例中,該特定前綴資訊為特定序列化值、對映表索引值、唯一索引加密值、唯一索引編碼值或前述應用之組合。
於另一實施例中,本發明復包括產製完整憑證廢止清冊,其於接收該憑證用戶之憑證廢止清冊服務申請封包時,選擇該虛擬平台物件之其中一者作為介接的虛擬平台物件,以透過該介接的虛擬平台物件呼叫其他的該虛擬平台物件平行處理,俾於查詢對應之憑證黑名單資訊後,傳送查詢之結果至該介接的虛擬平台物件以製作憑證廢止清冊。
於另一實施例中,本發明復包括產製線上憑證狀態協定回應訊息,其係於接收該憑證用戶之線上憑證狀態協定服務申請封包時,於取得該特定前綴資訊以及對應之憑證機構資訊存取值後,由對應之該虛擬平台物件查詢待查憑證之狀態,以傳送該待查憑證之狀態結果至該憑證用戶。
於又一實施例中,本發明復包括廢止憑證,其係於接收該憑證用戶或審核者之憑證廢止服務申請封包時,於取得該特定前綴資訊後,由對應該特定前綴資訊之該虛擬平台物件上執行憑證廢止流程,俾傳送憑證廢止結果至該憑證用戶。
綜上所述,本發明之憑證管理系統及其方法係透過憑證申請模組將憑證服務導入預設之虛擬平台物件並監控該虛擬平台物件,以於該虛擬平台物件效能降低時,新增至少另一虛擬平台物件以分流處理新的憑證服務,並進行分流處理之分流機制,另外,還進一步制定憑證序號之特定前綴資訊,以提供分群儲存之機制。
1‧‧‧憑證管理系統
11‧‧‧憑證申請模組
111、113‧‧‧虛擬平台物件
1111‧‧‧虛擬憑證申請單元
1112‧‧‧虛擬憑證廢止模組
1113‧‧‧虛擬憑證廢止清冊模組
1114‧‧‧虛擬線上憑證狀態協定模組
112、114‧‧‧虛擬憑證資料庫
12‧‧‧憑證廢止模組
13‧‧‧憑證廢止清冊模組
14‧‧‧線上憑證狀態協定模組
2‧‧‧交握端
21‧‧‧憑證用戶端瀏覽器
22‧‧‧網頁伺服器
23‧‧‧網域名稱伺服器
24‧‧‧代理伺服器
31‧‧‧憑證資料庫
32‧‧‧憑證廢止清冊資料庫
33‧‧‧線上憑證狀態協定回應資料庫
S601~S602‧‧‧步驟
S701~S705‧‧‧步驟
S801~S808‧‧‧步驟
第1圖為本發明之憑證管理系統之初始系統架構圖;
第2圖為本發明之憑證管理系統之憑證申請模組新增另一虛擬平台物件時之系統架構圖;
第3圖為本發明之憑證管理系統之系統架構圖;
第4圖為本發明之虛擬平台物件之架構圖;
第5圖為本發明之憑證用戶端提出憑證服務申請時之系統架構圖;
第6圖為本發明之憑證管理方法之第一實施例之流程圖;
第7圖為本發明之憑證管理方法之第二實施例之流程圖;以及
第8圖為本發明之憑證管理方法之第三實施例之流程圖。
以下藉由特定的具體實施形態說明本發明之技術內容,熟悉此技藝之人士可由本說明書所揭示之內容輕易地瞭解本發明之優點與功效。然本發明亦可藉由其他不同的具體實施形態加以施行或應用。
第1、2圖係說明本發明之憑證管理系統之憑證申請模組預設虛擬平台物件及新增另一虛擬平台物件之系統架構圖。本發明之憑證管理系統1,可支援大數據,且為利用平台物件資訊以及變更憑證序號前綴資訊之實施,以達到當憑證服務需求量過大的情況下,仍可繼續提供憑證服務,維持該憑證中心平台的效能,並可實現較佳的憑證管理,詳述如下。
如第1圖所示,本發明之憑證管理系統1係包括憑證申請模組11,其中,透過該憑證申請模組11預先於憑證管理系統1中設置虛擬平台物件111,據此,憑證申請模組11於接收憑證用戶之憑證申請封包且憑證用戶的申請資料經審核成功後,即於驗證該憑證用戶送出之憑證請求檔無誤,且憑證主體之身分驗證也通過後,若符合申請,憑證申請模組11將憑證用戶資訊與其憑證請求檔封裝成憑證服務申請封包,其中,憑證申請封包須包含審核者的簽章,將憑證申請封包導入虛擬平台物件111,以於虛擬平台物件111上執行憑證申請流程後,產生對應該憑證申請封包之憑證,並傳送該憑證至憑證用戶,亦即,本發明透過憑證申請模組11設置之虛擬平台物件111提供憑證服務。該憑證申請模組11於設置虛擬平台物件111後,復對該虛擬平台物件111執行效能監控。在此實施例中,前述之憑證用戶不
局限於人,也有可能是特定機器,設備於有憑證需求時,透過特定機制送出申請。
進一步地,如第2圖所示,於該憑證申請模組11監控該虛擬平台物件111的過程中,當遭遇該虛擬平台物件111因憑證服務量過多,致其效能低於門檻值之情況時,該憑證申請模組11則新增設另一虛擬平台物件113,以將新進之憑證申請封包經分流而導入該另一虛擬平台物件113中進行處理,進而產生對應該新進之憑證申請封包之新的憑證,再傳送新的憑證給提出新進之憑證申請封包之憑證用戶,其中,在一實施例中,門檻值係可為設定於資料庫指令執行時間、周邊硬體回應時間(如保密器、讀卡機)、處理器使用率、記憶體使用率、硬碟讀取時間、單一交易執行時間等。在一實施例中,該另一虛擬平台物件113可為一個虛擬平台物件,也可為至少一個或複數個虛擬平台物件。
如第3圖所示,其為本發明之架構示意圖。如圖所示,為儲存虛擬平台物件111、113所產生之憑證,該憑證申請模組11對應各虛擬平台物件111、113設置虛擬憑證資料庫112、114,各該虛擬憑證資料庫112、114用以儲存與虛擬平台物件111、113對應之各該憑證,據此,憑證申請模組11將判斷當前所使用之虛擬平台物件111、113,將憑證申請結果做分群儲存,同時寫入相對應的憑證機構資訊存取值,例如該憑證序號內特定前綴資訊經過轉換為網域名稱格式之值,以供日後提出驗證服務申請時,能將其導到相對應的分群中。另外,該憑證申請模組11於增設另一虛擬平台物件113後,即執行對另一虛擬平台物件113之效能監控,俾於該另一虛擬平台物件113之效能低於門檻值後,再增設其他至少一個虛擬平台物件,
以分流處理憑證服務。對於憑證用戶而言,無論當前所建立的虛擬平台物件111、113為何,憑證申請模組11都將提供一致的憑證服務申請介面於憑證用戶,而無須變更用戶申請憑證的既有流程。
於一實施例中,對虛擬平台物件111之效能監控可於憑證管理系統1中,另設效能監控模組執行之,而憑證申請模組11亦可連結至該效能監控模組,以於效能監控模組監測虛擬平台物件111之效能低於門檻值時,增設另一虛擬平台物件113,而於增設另一虛擬平台物件113後,復透過效能監控模組監測虛擬平台物件113之效能。
如上所述之虛擬平台物件111、113所產生之各該憑證係具有憑證序號,而該憑證序號係包括亂數資訊和特定前綴資訊,其中,亂數資訊為由系統依亂數方式產生,而特定前綴資訊則可由處理該申請流程之虛擬平台物件111、113進行制定,其中,該特定前綴資訊經特定規則制定後有對應虛擬平台物件111、113之資訊,以供區辨所產生之憑證與產生該憑證之虛擬平台物件111、113之間的對應關係,舉例而言,該特定前綴資訊可為特定序列化值、對映表索引值、唯一索引加密值、唯一索引編碼值等,或前述應用之組合。在一實施例中,所述之分流機制係使用憑證序號內的特定前綴資訊做對應,特定前綴資訊為憑證序號內亂數以外可用空間之應用,其中,可用空間以不超過憑證機構與瀏覽器論壇發行的Baseline Requirements及RFC 5280等規範為原則,藉以對應憑證與虛擬平台物件111、113。
續如第3圖所示,本發明之憑證申請模組11可訊號連結用以儲存與該特定前綴資訊對應之虛擬平台物件111、113之關係的憑證資料庫
31,其中,該關係可利用列表之方式儲存於憑證資料庫31中,於憑證用戶或憑證管理系統1欲查詢某張憑證時,可透過憑證申請模組11自憑證資料庫31中依據所儲存之特定前綴資訊與虛擬平台物件111、113之對應關係或關係列表,找出憑證所儲存之虛擬憑證資料庫112、114,進而經該虛擬平台物件111、113於該虛擬憑證資料庫112、114中獲得所欲查詢之該憑證。亦即,當所屬虛擬平台物件111、113之憑證申請流程處理完畢後,憑證申請模組11將判斷當前所使用的虛擬平台物件111、113,將該憑證申請之產出分群儲存於相對的虛擬憑證資料庫112、114,此外,也將給定相對應的憑證機構資訊存取值以供日後提出驗證服務申請時,如提出線上憑證狀態協定服務申請封包時,能將該請求導到所屬之虛擬平台物件111、113之虛擬憑證資料庫112、114。另外,憑證申請模組11與憑證資料庫31之間可透過有線連結、無線連結或透過網路進行連結的方式相互訊號連結。在此實施例中,該虛擬平台物件111、113及虛擬憑證資料庫112、114之數量係舉例說明,本發明不以此為限。
續如第3圖所示,本發明之憑證管理系統1復可包括憑證廢止模組12、憑證廢止清冊模組13以及線上憑證狀態協定模組14,其中,憑證申請模組11、憑證廢止模組12、憑證廢止清冊模組13以及線上憑證狀態協定模組14彼此相互訊號連結。
詳言之,憑證廢止模組12用以於接收到憑證用戶或審核者之憑證廢止服務申請封包後,先分析所欲廢止之憑證,以取得該憑證之特定前綴資訊,進一步地由對應該特定前綴資訊之虛擬平台物件111、113上執行憑證廢止流程,並傳送憑證廢止結果至該憑證用戶。換言之,該憑證廢
止模組12可接收來自該憑證用戶或審核者之憑證廢止服務申請封包,當憑證廢止理由經過核可,且憑證主體經身分驗證無誤後,將進行憑證廢止,同時傳送廢止後之憑證狀態資訊至該憑證用戶。
於一實施例中,於憑證廢止模組12中具有用以分析憑證之特定前綴資訊之中介程式,以剖析憑證序號內所制定之特定前綴資訊,即可得出對應該憑證之虛擬平台物件111、113,並存取虛擬憑證資料庫112、114。於另一實施例中,亦可於客戶端之平台安裝設置用以分析憑證之特定前綴資訊之中介程式,即可透過客戶端之中介程式分析憑證序號,以依據分析結果得出相對應之虛擬平台物件111、113。
憑證廢止清冊模組13用以於接收憑證用戶之憑證廢止清冊服務申請封包時,自憑證申請模組11已啟用或設置之虛擬平台物件111或多個虛擬平台物件111、113其中之其中一者,選擇作為介接的虛擬平台物件。以選擇虛擬平台物件111為例,憑證廢止清冊透過該介接的虛擬平台物件111查詢對應之憑證黑名單資訊,並同時呼叫其他的虛擬平台物件113執行平行處理,以查詢對應之憑證黑名單資訊,再將所查詢之憑證黑名單資訊傳送至該介接的虛擬平台物件111,以供該介接的虛擬平台物件111組合、製作憑證廢止清冊。據此,本發明之憑證廢止清冊模組13可接收來自該憑證用戶欲執行憑證狀態查詢時所提交之憑證廢止清冊服務申請封包,解析申請封包的內容,組成完整憑證廢止清冊後,傳送憑證有效性資訊至該憑證用戶。於一實施例中,憑證廢止清冊模組13係可訊號連結(例如有線連結、無線連結或網路連結)用以儲存該憑證廢止清冊之憑證廢止清冊資料庫32。憑證廢止清冊模組13可設定於一段時間(例如每天、每星期或每個月
等週期時間)經過後,執行一次憑證廢止清冊之製作程序,以於憑證用戶申請憑證廢止清冊服務時,立即提供最新之憑證廢止清冊,即可節省每次提出申請時便要執行製作憑證廢止清冊之時間。
線上憑證狀態協定模組14係用以於接收憑證用戶之線上憑證狀態協定服務申請封包,以於取得特定前綴資訊後,由對應之該虛擬平台物件查詢待查憑證之狀態,並傳送該待查憑證之狀態結果至該憑證用戶,亦即,憑證用戶送出線上憑證狀態協定查詢請求時,線上憑證狀態協定模組14根據憑證機構資訊存取擴充欄位,存取相對應的平台物件,傳送線上憑證狀態協定回應訊息。另外,線上憑證狀態協定模組14更提供裝訂功能,可滿足動態回應的效果。於一實施例中,線上憑證狀態協定模組14係訊號連結用以儲存該待查憑證之狀態結果之線上憑證狀態協定回應資料庫33。
如本發明第4圖所示,其為本發明之虛擬平台物件之架構圖,各虛擬平台物件111分別包括相互訊號連結之虛擬憑證申請單元1111、虛擬憑證廢止模組1112、虛擬憑證廢止清冊模組1113以及虛擬線上憑證狀態協定模組1114。在一實施例中,虛擬憑證申請單元1111用以處理憑證申請封包,並執行憑證申請流程,以產生對應之憑證;虛擬憑證廢止模組1112用以處理憑證廢止服務申請封包,並執行憑證廢止流程,以產生憑證廢止結果;虛擬憑證廢止清冊模組1113用以接收介接的虛擬平台物件111之查詢指令而查詢所處理過之所有憑證之憑證黑名單資訊,以將其組成完整憑證廢止清冊;虛擬線上憑證狀態協定模組1114用以接收查詢憑證狀
態之指令而查詢對應之憑證之狀態,以將其封裝至線上憑證狀態協定回應訊息。
如本發明第5圖所示,其為本發明之憑證用戶端提出憑證服務申請時之架構圖。如圖所示,本發明進一步搭配系統周邊設備,如傳輸層安全協議交握(Transport Layer Security Handshake,TLS Handshake)交握端以及不同功能資料庫等。在一實施例中,TLS交握端2包括憑證用戶端瀏覽器21、網頁伺服器22、網域名稱伺服器23、及代理伺服器24。是以,本發明之憑證管理系統1係可連線至具有憑證用戶端瀏覽器21、網頁伺服器22、網域名稱伺服器23及代理伺服器24之交握端2,其中,該憑證用戶端瀏覽器21連結至相互連結之該網頁伺服器22與該網域名稱伺服器23,且該網頁伺服器22連結至該代理伺服器24,而該代理伺服器24連結至該憑證申請模組11、該憑證廢止模組12、該憑證廢止清冊模組13以及該線上憑證狀態協定模組14,據此,憑證用戶操作憑證用戶端瀏覽器21透過網域名稱伺服器23存取網頁伺服器22,網頁伺服器22透過代理伺服器24經由安全管道連結至本發明之憑證管理系統1。當憑證用戶根據當前使用情境,選定特定憑證種類進行申請時,由於需進行線上憑證狀態協定組態設定,所以需要使用網頁伺服器22。藉此,憑證用戶可利用網頁伺服器22透過代理伺服器24以對憑證管理系統1提出憑證申請服務、憑證廢止服務、憑證廢止清冊服務及/或線上憑證狀態協定服務。
經上所述,本發明之憑證管理系統透過憑證申請模組所預先設置之虛擬平台物件及增加設置之虛擬平台物件執行憑證服務之分流機制,以有效利用憑證管理系統之資源,再透過特定規則制定憑證之憑證序
號中的特定前綴資訊,以達到分群管理憑證之目的。另外,雖然於本發明中透過憑證申請模組設置複數虛擬平台物件,以執行憑證之分流處理機制及分群儲存管理,不過,對於憑證用戶而言,無論當前所建立的虛擬平台物件為何,憑證申請模組都將提供一致的憑證服務申請介面於憑證用戶。
本發明復提出一種憑證管理方法,係可支援大數據,如第6圖所示,其為本發明之憑證管理方法之第一實施例,其方法包括下列步驟。
於步驟S601中,接收憑證用戶之憑證申請封包,於此步驟中,先審核憑證用戶之申請資料,以於憑證用戶的申請資料經審核成功後,將憑證用戶資訊與其憑證請求檔封裝成憑證服務申請封包,於製作完成後送至憑證服務申請介面,其中,憑證服務申請封包須包含審核者的簽章。
於步驟S602中,處理憑證申請封包,將該憑證申請封包導入預先設置之一虛擬平台物件並監控該一虛擬平台物件之效能,預先設置虛擬平台物件,以於前述步驟中接收到憑證用戶之憑證申請封包後,將該憑證申請封包導入所設置並啟用之虛擬平台物件中。另外,於設置虛擬平台物件後,持續監控該虛擬平台物件之效能,進而於該虛擬平台物件執行憑證申請流程後,傳送憑證至該憑證用戶,並儲存之,其中,於虛擬平台物件之資料處理量過大,致虛擬平台物件之效能低於門檻值時,增設另一虛擬平台物件,以將新進之憑證服務導入該另一虛擬平台物件進行處理並執行該另一虛擬平台物件之效能監控,以產生對應該新進之憑證服務之憑證,並分群儲存,其中,於一實施例中,該門檻值可為設定於資料庫指令執行時間、周邊硬體回應時間(如保密器、讀卡機)、處理器使用率、記憶
體使用率、硬碟讀取時間、單一交易執行時間等。於一實施例中,各該虛擬平台物件設置虛擬憑證資料庫以分群儲存各該憑證。
上述之憑證係包括具有亂數資訊和特定前綴資訊之憑證序號,且該特定前綴資訊具有對應該虛擬平台物件之資訊,舉例來說,該特定前綴資訊可為特定序列化值、對映表索引值、唯一索引加密值、唯一索引編碼值等,或上述應用之組合,亦即,憑證依照目前所處理之虛擬平台物件給定相對應的憑證機構資訊存取值,其中,該存取值可為該特定前綴資訊經過轉換為網域名稱格式之值,以供日後憑證用戶提出憑證狀態查詢服務申請時,能將其導到相對應的分群中。
如第7圖所示,其為本發明之憑證管理方法之第二實施例,其步驟S701為接收憑證用戶之憑證申請封包以及步驟S702為處理憑證申請封包已如第一實施例所陳,故不復贅述,本實施例與第一實施例不同之處在於本實施例還包括下列步驟。
於步驟S703中,產製完整憑證廢止清冊。當憑證用戶欲查詢憑證狀態,而於接收該憑證用戶之憑證廢止清冊服務申請封包時,選擇已設置、啟用之各該虛擬平台物件之其中一者作為介接的虛擬平台物件,以透過該介接的虛擬平台物件呼叫其他的虛擬平台物件查詢對應之憑證黑名單資訊後,傳送至該介接的虛擬平台物件以製作憑證廢止清冊。亦即,於本步驟中,憑證廢止清冊模組13從已啟用之虛擬平台物件中任選一台作為介接者,以平行處理方式呼叫所有虛擬平台物件以加速處理,各虛擬平台物件分別收集範圍內的憑證黑名單後,再將資料傳送於介接者,當介接
者收集全部憑證黑名單完成後,產製完整憑證廢止清冊,然後將其對外發布以供存取。
於步驟S704中,產製線上憑證狀態協定回應訊息。當憑證用戶欲動態取得憑證狀態資訊,而於接收該憑證用戶之線上憑證狀態協定服務申請封包時,於取得該特定前綴資訊後,由對應之該虛擬平台物件查詢待查憑證之狀態,並傳送該待查憑證之狀態結果至該憑證用戶。於本步驟中,線上憑證狀態協定模組14根據用戶憑證上的憑證機構資訊存取擴充欄位資訊,存取所屬分流虛擬平台物件以產製線上憑證狀態協定回應訊息,完成後傳送線上憑證狀態協定回應訊息。
於步驟S705中,廢止憑證。當遭遇到憑證廢止理由時,憑證用戶或審查者發出廢止憑證請求,即於接收該憑證用戶或審核者之憑證廢止服務申請封包時,於取得該特定前綴資訊後,由對應該特定前綴資訊之該虛擬平台物件上執行憑證廢止流程,並傳送憑證廢止結果至該憑證用戶。在一實施例中,於本步驟中,當遭遇憑證機構與瀏覽器論壇發行的BaselineRequirements及RFC 5280等規範的憑證廢止理由時,憑證廢止服務申請者將憑證廢止請求送至憑證廢止介面,其中,該憑證廢止服務申請封包須包含審核者的簽章。當憑證廢止模組12收到該憑證廢止服務申請封包時,會依照該憑證序號內的特定前綴資訊,得出對應的所屬之虛擬平台物件,完成憑證廢止流程後,傳送憑證廢止資訊於憑證用戶。
如第8圖所示,其為本發明之憑證管理方法之第三實施例,如圖所示並同時參考第5圖,本發明之方法包括下列步驟。
於步驟S801中,申請憑證。憑證用戶透過操作憑證用戶端瀏覽器21經網域名稱伺服器23存取網頁伺服器22,網頁伺服器22由代理伺服器24通過安全管道以連結至憑證申請模組11。憑證用戶根據使用情境,於產生金鑰對以及簽署憑證請求檔後,向憑證申請模組11提交憑證申請封包。於憑證申請模組11將收到之憑證申請封包後,辨別憑證用戶所請求的憑證服務種類,執行過程將連結至憑證資料庫31,並啟動憑證簽發流程。經憑證申請模組11判定憑證用戶的申請資訊經無誤後,將憑證用戶資訊與其憑證請求檔組合後產製包含審核者的簽章之憑證申請封包,於憑證申請封包製作完成後,將傳輸至憑證申請模組11的憑證服務申請介面。
於步驟S802中,效能監控。由於憑證用戶可為人或特定機器,其同時送出之憑證服務請求可能為大量的資料,因此憑證申請模組11啟用效能監控功能。
於步驟S803中,虛擬平台物件啟用。當憑證申請模組11同時收到的憑證申請量過大,致虛擬平台物件111之效能低於門檻值時,憑證申請模組將新增虛擬平台物件113進行分流機制,以批次處理所接收之憑證申請,其中,分流機制將使用憑證序號內的特定前綴資訊為對應,而該憑證序號須包含特定長度之亂數資訊以確保唯一性,亂數以外的可用空間可用來制定該特定前綴資訊以用來對應所屬之虛擬平台物件111、113,可用空間以不超過憑證機構與瀏覽器論壇發行的Baseline Requirements及RFC 5280等規範為原則。另外,各虛擬平台物件111、113之間以平行處理機制進行控管其工作流,對於憑證用戶而言,憑證申請模組11仍提供一致的憑證服務存取介面。
於步驟S804中,分群憑證產製。於憑證申請模組11已預設一虛擬平台物件111,且依效能監控結果啟用所需數量的虛擬平台物件113,各虛擬平台物件111、113彼此獨立運作以平行處理方式運行,當特定憑證申請流程處理完畢後,其所屬虛擬平台物件111、113將進行憑證之分群控管,其中,該分群資訊將寫入憑證資料庫31。於一實施例中,各該虛擬平台物件設置虛擬憑證資料庫112、114以分群儲存各該憑證。此外,憑證申請模組11將給定相對應的憑證機構資訊存取值於每張憑證,當日後特定憑證用戶提出憑證服務請求時,能將該請求導到相對應的虛擬平台物件111、113進行處理。
於步驟S805中,憑證用戶端設定。為了動態確認憑證狀態以及憑證有效性資訊,憑證用戶需要於網頁伺服器22組態部分進行線上憑證狀態協定之啟用,以存取線上憑證狀態協定模組14,此外,憑證用戶亦於其網頁伺服器22設定線上憑證狀態協定裝訂組態,以支援動態請求線上憑證狀態協定回應訊息。
於步驟S806中,產製完整憑證廢止清冊。於憑證用戶提出憑證廢止清冊之查詢後,回應憑證用戶送出之憑證廢止清冊查詢請求,憑證廢止清冊模組13於收到網頁伺服器22透過代理伺服器24送出之憑證廢止清冊服務申請封包後,首先確認已啟用的所有虛擬平台物件111、113,然後從中任選一台作為介接者,介接者主要作用在於同步呼叫所有其他虛擬平台物件,並加以監控其工作流,各虛擬平台物件111、113將透過憑證申請模組11存取憑證資料庫31後,從其關聯繼而存取相對應的虛擬憑證資料庫112、114,以於得到其控管範圍的憑證黑名單後,再傳送給介接者進
行統整,以產製完整憑證廢止清冊,並傳送憑證狀態查詢結果至該憑證用戶,過程中將存取憑證廢止清冊資料庫32,並將當次結果寫入。
於步驟S807中,產製線上憑證狀態協定回應訊息。當憑證用戶端於網頁伺服器22設定完線上憑證狀態協定相關組態後,可透過代理伺服器24送出線上憑證狀態協定服務申請封包至線上憑證狀態協定模組14。由於產製憑證時已透過制定憑證序號的特定前綴資訊,即寫入相對應的值於憑證機構資訊存取擴充欄位,因此,線上憑證狀態協定模組14可透過存取憑證機構資訊存取擴充欄位,將工作流導到所屬虛擬平台物件111、113,該虛擬平台物件111、113則透過憑證申請模組11自憑證資料庫31存取相對應的虛擬憑證資料庫112、114,此外,亦將連結至線上憑證狀態協定回應資料庫33,將線上憑證狀態協定回應訊息寫入線上憑證狀態協定回應資料庫33,並將結果傳送於憑證用戶。
於步驟S808中,廢止憑證。當遇到憑證機構與瀏覽器論壇發行的Baseline Requirements及RFC 5280等規範的憑證廢止情形,憑證廢止服務申請者依據憑證中心之作業規範於其網頁伺服器22透過代理伺服器24送出憑證廢止服務申請封包,收到憑證廢止請求後,憑證廢止模組12即進行相關的審核程序,於審核通過後,審核者再將其簽章送至憑證廢止模組12之憑證廢止介面以啟用憑證廢止流程。憑證廢止模組12經分析得到憑證序號內之特定前綴資訊,據以獲得相對應的所屬虛擬平台物件111、113,於另一實施例中,也可將中介程式安裝至憑證用戶端,剖析憑證序號後亦可得到所屬虛擬平台物件111、113,該虛擬平台物件111、113透過憑證申請模組11存取憑證資料庫31中後,再存取相對應的虛擬憑證資料庫
112、114,以取得目標憑證資訊,當憑證廢止流程處理完畢後,再將憑證資訊更新至虛擬憑證資料庫112、114,並將處理結果傳送於憑證用戶。
綜上所述,相較於現有技術,本發明所提出之憑證管理系統及其方法,可提供一種分流機制,以在不增加另一憑證中心的情況下,於單一憑證中心中有效率地應付大量的憑證申請或其他憑證相關服務之請求,且提供一致之介面給憑證用戶,不致造成憑證用戶的混亂,即,本發明之憑證管理系統及其方法,可支援大數據,且可在不新增憑證中心之數量的情況下,仍可維持平台效能,具體來說,本發明透過複數個虛擬平台物件資訊之擴充以及組合,且配合憑證序號前綴資訊的變更實施,以滿足當平台資料處理量超過系統效能門檻時,能提供具備可擴充性之平台,藉此避免憑證服務失效。再者,本發明無須改變憑證用戶提交憑證服務申請流程的既有工作流,故無須大幅更動現有系統。換言之,本發明所提出之憑證管理系統及其方法,具備可依平台環境判斷是否啟用擴充功能,可在憑證服務需求量過載的情況下繼續提供服務,且無須另行新增憑證中心系統。
另外,在一實施例中,上述之模組或資料庫包括微處理器及記憶體,而演算法、資料、程式等係儲存記憶體或晶片內,微處理器可從記憶體載入資料或演算法或程式進行資料分析或計算等處理。例如本發明之憑證申請模組、憑證廢止模組、憑證廢止清冊模組以及線上憑證狀態協定模組為包括有微處理器與記憶體等組件之伺服器或電腦,且各模組內將執行分析運算,因而本發明所述模組其硬體細部結構可以此方式實現。
上述實施形態僅例示性說明本發明之原理及其功效,而非用於限制本發明。任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下,對上述實施形態進行修飾與改變。因此,本發明之權利保護範圍,應如後述之申請專利範圍所列。
1‧‧‧憑證管理系統
11‧‧‧憑證申請模組
111、113‧‧‧虛擬平台物件
Claims (17)
- 一種憑證管理系統,係包括:憑證申請模組,係設置有一虛擬平台物件,以將憑證用戶之憑證申請封包導入該虛擬平台物件並執行該虛擬平台物件之效能監控,俾於該虛擬平台物件執行憑證申請流程後,傳送憑證至該憑證用戶,其中,於該憑證申請模組監控該虛擬平台物件之效能低於門檻值時,該憑證申請模組增設至少另一虛擬平台物件,以將新進之憑證申請封包導入該至少另一虛擬平台物件進行處理並執行該至少另一虛擬平台物件之效能監控,俾產生對應該新進之憑證申請封包之新的憑證。
- 如申請專利範圍第1項所述之憑證管理系統,其中,該憑證申請模組係對應各該虛擬平台物件設置有用以儲存各該憑證之虛擬憑證資料庫。
- 如申請專利範圍第1項所述之憑證管理系統,其中,各該憑證包括具有亂數資訊和特定前綴資訊之憑證序號,且該特定前綴資訊經一規則制定後有對應該虛擬平台物件之資訊。
- 如申請專利範圍第3項所述之憑證管理系統,其中,該特定前綴資訊為特定序列化值、對映表索引值、唯一索引加密值、唯一索引編碼值或前述應用之組合。
- 如申請專利範圍第3項所述之憑證管理系統,其中,該憑證申請模組係訊號連結用以儲存與該特定前綴資訊對應之該虛擬平台物件之關係的憑證資料庫。
- 如申請專利範圍第3項所述之憑證管理系統,其中,該憑證管理系統復包括憑證廢止模組、憑證廢止清冊模組以及線上憑證狀態協定模組,該憑證申請模組、該憑證廢止模組、該憑證廢止清冊模組以及該線上憑證狀態協定模組彼此相互訊號連結,且其中:該憑證廢止模組接收該憑證用戶或審核者之憑證廢止服務申請封包,以於取得該特定前綴資訊後,由對應該特定前綴資訊之該虛擬平台物件上執行憑證廢止流程,俾傳送憑證廢止結果至該憑證用戶;該憑證廢止清冊模組接收該憑證用戶之憑證廢止清冊服務申請封包時,係選擇該虛擬平台物件之其中一者作為介接的虛擬平台物件,俾透過該介接的虛擬平台物件呼叫其他的該虛擬平台物件查詢對應之憑證黑名單資訊後傳送至該介接的虛擬平台物件,以供該介接的虛擬平台物件製作憑證廢止清冊;以及該線上憑證狀態協定模組接收該憑證用戶之線上憑證狀態協定服務申請封包,以於取得該特定前綴資訊以及對應之憑證機構資訊存取值後,由對應之該虛擬平台物件查詢待查憑證之狀態,俾傳送該待查憑證之狀態結果至該憑證用戶。
- 如申請專利範圍第6項所述之憑證管理系統,其中,該憑證廢止清冊模組係訊號連結用以儲存該憑證廢止清冊之憑證廢止清冊資料庫。
- 如申請專利範圍第6項所述之憑證管理系統,其中,該線上憑證狀態協定模組係訊號連結用以儲存該待查憑證之該狀態結果之線上憑證狀態協定回應資料庫。
- 如申請專利範圍第6項所述之憑證管理系統,其中,該憑證管理系統係連線至具有憑證用戶端瀏覽器、網頁伺服器、網域名稱伺服器及代理伺服器之交握端,該憑證用戶端瀏覽器連結至相互連結之該網頁伺服器與該網域名稱伺服器,且該網頁伺服器連結至該代理伺服器,而該代理伺服器連結至該憑證申請模組、該憑證廢止模組、該憑證廢止清冊模組以及該線上憑證狀態協定模組。
- 如申請專利範圍第6項所述之憑證管理系統,其中,各該虛擬平台物件分別包括相互訊號連結之虛擬憑證申請單元、虛擬憑證廢止模組、虛擬憑證廢止清冊模組以及虛擬線上憑證狀態協定模組。
- 一種憑證管理方法,係包括下列步驟:接收憑證用戶之憑證申請封包;處理憑證申請封包,其將該憑證申請封包導入預先設置之一虛擬平台物件並監控該虛擬平台物件之效能;以及於該虛擬平台物件執行憑證申請流程後,傳送憑證至該憑證用戶,其中,於該虛擬平台物件之效能低於門檻值時,增設至少另一虛擬平台物件,以將新進之憑證服務導入該至少另一虛擬平台物件進行處理並執行該至少另一虛擬平台物件之效能監控,俾產生對應該新進之憑證服務。
- 如申請專利範圍第11項所述之憑證管理方法,其中,各該虛擬平台物件設置用以儲存各該憑證之虛擬憑證資料庫。
- 如申請專利範圍第11項所述之憑證管理方法,其中,該憑證包括具有亂數資訊和特定前綴資訊之憑證序號,且該特定前綴資訊經一規則制定後有對應該虛擬平台物件之資訊。
- 如申請專利範圍第13項所述之憑證管理方法,其中,該特定前綴資訊為特定序列化值、對映表索引值、唯一索引加密值、唯一索引編碼值或前述應用之組合。
- 如申請專利範圍第11項所述之憑證管理方法,復包括產製完整憑證廢止清冊,其於接收該憑證用戶之憑證廢止清冊服務申請封包時,選擇該虛擬平台物件之其中一者作為介接的虛擬平台物件,以透過該介接的虛擬平台物件呼叫其他的該虛擬平台物件平行處理,俾於查詢對應之憑證黑名單資訊後,傳送查詢之結果至該介接的虛擬平台物件以製作憑證廢止清冊。
- 如申請專利範圍第11項所述之憑證管理方法,復包括產製線上憑證狀態協定回應訊息,其係於接收該憑證用戶之線上憑證狀態協定服務申請封包時,於取得該特定前綴資訊以及對應之憑證機構資訊存取值後,由對應之該虛擬平台物件查詢待查憑證之狀態,以傳送該待查憑證之狀態結果至該憑證用戶。
- 如申請專利範圍第11項所述之憑證管理方法,復包括廢止憑證,其係於接收該憑證用戶或審核者之憑證廢止服務申請封包時,於取得該特定前綴資訊後,由對應該特定前綴資訊之該虛擬平台物件上執行憑證廢止流程,俾傳送憑證廢止結果至該憑證用戶。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108138625A TWI717071B (zh) | 2019-10-25 | 2019-10-25 | 憑證管理系統及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108138625A TWI717071B (zh) | 2019-10-25 | 2019-10-25 | 憑證管理系統及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI717071B true TWI717071B (zh) | 2021-01-21 |
| TW202118258A TW202118258A (zh) | 2021-05-01 |
Family
ID=75237554
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW108138625A TWI717071B (zh) | 2019-10-25 | 2019-10-25 | 憑證管理系統及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI717071B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI761243B (zh) * | 2021-06-29 | 2022-04-11 | 中華電信股份有限公司 | 群組即時通訊的加密系統和加密方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201607344A (zh) * | 2014-04-28 | 2016-02-16 | 英特爾智財公司 | 整合動態公告及無線電分配驗證 |
| TWI668590B (zh) * | 2018-11-21 | 2019-08-11 | 中華電信股份有限公司 | 憑證有效性驗證系統及其方法 |
| CN110233873A (zh) * | 2019-05-06 | 2019-09-13 | 深圳壹账通智能科技有限公司 | 基于区块链的虚拟凭证值分配方法、合约运行装置及存储介质 |
-
2019
- 2019-10-25 TW TW108138625A patent/TWI717071B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201607344A (zh) * | 2014-04-28 | 2016-02-16 | 英特爾智財公司 | 整合動態公告及無線電分配驗證 |
| TWI668590B (zh) * | 2018-11-21 | 2019-08-11 | 中華電信股份有限公司 | 憑證有效性驗證系統及其方法 |
| CN110233873A (zh) * | 2019-05-06 | 2019-09-13 | 深圳壹账通智能科技有限公司 | 基于区块链的虚拟凭证值分配方法、合约运行装置及存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI761243B (zh) * | 2021-06-29 | 2022-04-11 | 中華電信股份有限公司 | 群組即時通訊的加密系統和加密方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202118258A (zh) | 2021-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Wang et al. | A blockchain-based framework for data sharing with fine-grained access control in decentralized storage systems | |
| CN109768988B (zh) | 去中心化物联网安全认证系统、设备注册和身份认证方法 | |
| WO2020207233A1 (zh) | 一种区块链的权限控制方法及装置 | |
| WO2020143470A1 (zh) | 发放数字证书的方法、数字证书颁发中心和介质 | |
| TWI587672B (zh) | Login authentication method, client, server and system | |
| Jia et al. | A2 chain: a blockchain‐based decentralized authentication scheme for 5G‐enabled IoT | |
| US20090055916A1 (en) | Secure delegation using public key authentication | |
| CN104935568A (zh) | 一种面向云平台接口鉴权签名方法 | |
| US20230370265A1 (en) | Method, Apparatus and Device for Constructing Token for Cloud Platform Resource Access Control | |
| CN110177109B (zh) | 一种基于标识密码和联盟链的双代理跨域认证系统 | |
| CN110543545A (zh) | 基于区块链的档案管理方法、装置及存储介质 | |
| Lu et al. | A Fine‐Grained IoT Data Access Control Scheme Combining Attribute‐Based Encryption and Blockchain | |
| Dwivedi et al. | Smart contract and ipfs-based trustworthy secure data storage and device authentication scheme in fog computing environment | |
| US20210211286A1 (en) | System and methods for data exchange using a distributed ledger | |
| TWI717071B (zh) | 憑證管理系統及其方法 | |
| CN110610418B (zh) | 基于区块链的交易状态查询方法、系统、设备及存储介质 | |
| Yang et al. | UCBIS: An improved consortium blockchain information system based on UBCCSP | |
| He et al. | SDFS: a scalable data feed service for smart contracts | |
| Chen et al. | A self-sovereign decentralized identity platform based on blockchain | |
| CN112926983A (zh) | 一种基于区块链的存证交易加密系统及方法 | |
| US20220318356A1 (en) | User registration method, user login method and corresponding device | |
| WO2019184206A1 (zh) | 身份认证方法及装置 | |
| Yeasmin et al. | Permissioned blockchain: Securing industrial IoT environments | |
| Ying | Research on multi-level security of shibboleth authentication mechanism | |
| Yan et al. | Power blockchain guarantee mechanism based on trusted computing |